應(yīng)用軟件收集、轉(zhuǎn)賣信息與用戶隱私權(quán)之沖突

【摘要】目前移動(dòng)電子設(shè)備上的應(yīng)用軟件（app）由于收集用戶隱私問題引起了很多社會(huì)關(guān)注，那么這些app收集轉(zhuǎn)賣信息與公眾的隱私權(quán)保護(hù)之間究竟存在何種關(guān)系，是否侵權(quán)，在什么特定情況下侵權(quán)正是本文所討論的問題。筆者希望通過本文讓二者之間的關(guān)系更加明晰，并對(duì)理論和實(shí)踐中產(chǎn)生的問題有所幫助。

【關(guān)鍵詞】應(yīng)用軟件 收集 轉(zhuǎn)賣 隱私

通過360訴小米的案件中可知小米在用戶下載360相關(guān)軟件的時(shí)候，會(huì)提示用戶該軟件可能非法收集用戶數(shù)據(jù)、隱私信息等，由此，我們可聯(lián)系到實(shí)踐中類似問題，假設(shè)若類似360的app收集了用戶的相關(guān)數(shù)據(jù)信息，并且加以分析利用后將一部分?jǐn)?shù)據(jù)信息出賣給第三方，然后由第三方進(jìn)行使用如對(duì)用戶進(jìn)行個(gè)性化推薦，此時(shí)app方面對(duì)用戶數(shù)據(jù)的收集、出賣是否侵犯了用戶的隱私呢？

一、收集行為

首先，我們要明確app對(duì)用戶信息的收集是否合法？從兩方面來討論，若app未經(jīng)用戶授權(quán)即收集用戶手機(jī)中的任何信息，那么顯然這種未經(jīng)許可的做法侵犯了用戶的隱私，依據(jù)為《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）第九條“未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個(gè)人信息?！?011年時(shí)，蘋果以及谷歌都因?yàn)槲唇?jīng)用戶同意擅自搜集用戶地理位置信息遭到起訴與調(diào)查并受到了相關(guān)處罰。需要討論的是，大多數(shù)情況下，在用戶安裝該應(yīng)用軟件前，就會(huì)收到提示，例如“該軟件將要搜集您的通訊錄目錄、通話內(nèi)容、位置信息”等，而一旦用戶選擇了“許可”并繼續(xù)安裝使用了該軟件，就會(huì)面臨手機(jī)中的信息數(shù)據(jù)被該app獲取并被轉(zhuǎn)賣到第三方的風(fēng)險(xiǎn)。此時(shí)，經(jīng)授權(quán)的情況下app收集用戶信息的做法是否侵犯了用戶的隱私權(quán)呢？（需要說明的是個(gè)人信息與隱私的關(guān)系，隱私是一個(gè)相對(duì)的概念，個(gè)人信息的范圍大于隱私，隱私既包括信息隱私還包括生活安寧不被打擾，當(dāng)收集到的個(gè)人信息涉及隱私的范圍，則會(huì)產(chǎn)生隱私權(quán)侵權(quán)的問題。下文所討論到的隱私侵權(quán)問題所涉及信息均限定為隱私范圍內(nèi)的信息）我進(jìn)行了以下論證：

首先，《規(guī)定》第四條指出個(gè)人信息，是能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息?？梢娛欠駥儆趥€(gè)人信息關(guān)鍵在于信息能否與特定個(gè)人相聯(lián)結(jié)。來看“朱燁vs百度”案，一審中法院認(rèn)為網(wǎng)絡(luò)活動(dòng)蹤跡反映了個(gè)人的興趣、需求等私人信息，屬于個(gè)人隱私的范圍；但是，經(jīng)上訴，南京中院認(rèn)為“網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個(gè)人信息范疇”，我認(rèn)為二審觀點(diǎn)較為準(zhǔn)確。《規(guī)定》第九條表明“互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個(gè)人信息的，應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項(xiàng)?！蔽艺J(rèn)為如果app方面能夠?qū)⑦@些規(guī)定落到實(shí)處，詳細(xì)告訴用戶所收集信息內(nèi)容的使用方式，則很容易判定是否能聯(lián)結(jié)到用戶個(gè)人，若不屬于該范疇的則可自由收集，屬于該范疇的信息則需要按照《規(guī)定》的方式詳述明示并經(jīng)用戶同意。其次，我用小米手機(jī)下載360手機(jī)助手，發(fā)現(xiàn)在“360手機(jī)權(quán)限詳情”中有一塊“隱私相關(guān)”，較詳盡的描述了它會(huì)收集的用戶隱私信息情況比如“確定您手機(jī)的大體位置”、“讀取您手機(jī)上存儲(chǔ)的所有日歷活動(dòng)”等，但冗長到恐怕也沒有幾個(gè)人會(huì)在下載的時(shí)候?qū)⑺x完，并且，《規(guī)定》第九條“互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息或者將信息用于提供服務(wù)之外的目的”，那么360收集的這些信息都是必要的嗎？我們難以得知，且解釋權(quán)幾乎都掌握在app手上，它總有理由將其解釋為必要。綜上，一般情況下，當(dāng)用戶同意安裝該類app，若app的提示完整，則app對(duì)用戶信息的單純收集行為很難認(rèn)定有違法性，且單純收集行為（如果沒有泄露）一般也不會(huì)對(duì)用戶造成損害后果，所以我認(rèn)為一般來說是不能認(rèn)定隱私侵權(quán)的。

這其中還涉及到格式條款的問題，一般來說，提示符合格式合同的特征。根據(jù)《合同法》第39條、第40條的規(guī)定，我認(rèn)為app的提示亦可適用以上兩條法條，而如何才算法條中的“合理的方式”？回歸到朱燁案，一審法院認(rèn)為百度的提醒字體小且位置偏，不足以起到說明提醒作用；而二審法院認(rèn)為百度已盡說明義務(wù)，保障了知情權(quán)，我更支持二審說法，畢竟百度主頁頁面設(shè)計(jì)即是簡(jiǎn)潔風(fēng)，將提示放在較小位置亦與整體風(fēng)格相符。對(duì)應(yīng)到app上，就需要考慮到手機(jī)或者pad自身的大小，界面布置，以及用戶的瀏覽習(xí)慣來認(rèn)定是否盡到合理提醒義務(wù)。至于責(zé)任義務(wù)的規(guī)定，我認(rèn)為可參考?xì)W盟，“歐盟對(duì)網(wǎng)上交易所涉及的格式條款都有嚴(yán)格要求，直接明確規(guī)定雙方的責(zé)任與義務(wù)，不能繞過?！比籼崾局谐霈F(xiàn)無效要件，則即使經(jīng)過用戶許可，也不能借此收集用戶的信息，否則構(gòu)成侵權(quán)。

二、轉(zhuǎn)賣行為

如前所述，大多數(shù)情況下app單純收集用戶信息的行為并不能認(rèn)定為侵權(quán)，但很多情況下，app會(huì)將收集到的信息轉(zhuǎn)賣給第三方商戶，第三方商戶再將信息進(jìn)行利用，這樣的情況下app方將數(shù)據(jù)或者信息的轉(zhuǎn)賣行為是否侵犯了公民的隱私權(quán)呢？仍從兩種情況分析：

一是未做匿名化處理的信息，該情況較簡(jiǎn)單，若事前未明確告知用戶并經(jīng)用戶同意，則直接依《規(guī)定》第九條“互聯(lián)網(wǎng)信息服務(wù)提供者不得....將信息用于提供服務(wù)之外的目的，不得以欺騙、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息”以及第十條“互聯(lián)網(wǎng)信息服務(wù)提供者....不得出售或者非法向他人提供?！笨傻迷摲N并非提供服務(wù)之必要且超出提供服務(wù)之外目的的出賣行為，是違法且違反與用戶事前約定的。而若事前告知用戶收集到的信息可能轉(zhuǎn)賣呢？我認(rèn)為這種“告知”在實(shí)踐中幾乎沒有，因?yàn)楹芏嗌碳覍?duì)此并沒有可預(yù)期性，轉(zhuǎn)賣范圍、對(duì)象通常是在收集后的特定條件下才能確定的，即使在這之后要商家再去征求用戶的許可，成本大也不實(shí)際。

其次是現(xiàn)在一個(gè)被廣泛采用的做法，即將收集的個(gè)人信息“去姓名化” （也可叫匿名化）再進(jìn)行交易，被匿名的信息還算個(gè)人信息嗎？根據(jù)《規(guī)定》，若不能聯(lián)結(jié)到特定個(gè)人，則不在保護(hù)范圍之內(nèi)，可見在信息被匿名后很難對(duì)應(yīng)到個(gè)人的情況下，收集信息的app公司再將信息進(jìn)行出賣則沒有相關(guān)法律進(jìn)行規(guī)制，那么此時(shí)公司對(duì)該信息幾乎有了完全的控制權(quán)，是否可以隨意交易了呢？通常認(rèn)為，這種交易是需要限度的，因?yàn)殡m然單個(gè)信息可能難以聯(lián)結(jié)到個(gè)人，但是若這樣的間接信息較多，可能綜合起來就有可識(shí)別性了，比如2014年，美國聯(lián)邦法官Paul Grewal認(rèn)為谷歌在不同互聯(lián)網(wǎng)產(chǎn)品中混合使用用戶數(shù)據(jù)，以及在未經(jīng)用戶許可的情況下將數(shù)據(jù)披露給廣告主，需要面臨隱私訴訟?？梢姴煌瑪?shù)據(jù)的混合使用極有可能造成特定用戶被鎖定。為了用戶隱私安全考慮，公司應(yīng)該將這種交易控制在一定限度內(nèi)。endprint

以貴陽的大數(shù)據(jù)交易中心為例（個(gè)人信息雖然具有私人性，但其常常以集合的形式表現(xiàn)出來，形成了所謂的“大數(shù)據(jù)”。為適應(yīng)這一提法，后文將采用“個(gè)人數(shù)據(jù)”而不是“個(gè)人信息”的說辭），“大數(shù)據(jù)交易的是數(shù)據(jù)分析結(jié)果而不是數(shù)據(jù)本身，在進(jìn)入平臺(tái)交易前，數(shù)據(jù)都要經(jīng)過脫敏，抹去和隱私相關(guān)的信息，保障普通人的隱私。如果不想造成侵犯隱私，在交易之前，數(shù)據(jù)供需雙方就必須要明確什么樣的數(shù)據(jù)可以進(jìn)行交易，什么樣的不可以。”這些說法解釋了關(guān)于數(shù)據(jù)交易的一些基本原則，即收集的用戶個(gè)人數(shù)據(jù)可在正規(guī)平臺(tái)上交易，但是是要經(jīng)過分析過后的“二次數(shù)據(jù)”，還要采取各種技術(shù)手段和協(xié)商使數(shù)據(jù)內(nèi)容有所限制以保障用戶隱私。類似的還有中關(guān)村數(shù)海大數(shù)據(jù)交易平臺(tái)，其負(fù)責(zé)人提到“如果涉及到敏感數(shù)據(jù)的調(diào)用，將進(jìn)行實(shí)時(shí)的數(shù)據(jù)清洗，最終提供給需求方的數(shù)據(jù)也將在完成安全測(cè)試之后，再行提供。即使調(diào)用成功，也會(huì)在使用次數(shù)用盡或使用期限到期之后，對(duì)權(quán)限進(jìn)行收回?！痹谒恼f法中，除了也提到對(duì)一些隱私敏感數(shù)據(jù)的清洗，還有一個(gè)權(quán)限回收問題，這觸及到了一個(gè)很熱的名詞，即“被遺忘權(quán)”，“被遺忘權(quán)”即信息主體對(duì)信息控制者收集、存儲(chǔ)和利用的個(gè)人信息，在出現(xiàn)法定或約定的理由時(shí)，請(qǐng)求信息控制者刪除個(gè)人信息并停止傳播的權(quán)利。相關(guān)案例也已經(jīng)顯示這個(gè)意思，11年一西班牙男子起訴谷歌上能搜到自己1998年的一項(xiàng)物業(yè)信息，要求谷歌刪除，法院認(rèn)為，搜索引擎控制了公民個(gè)人的隱私數(shù)據(jù)，一定情況下負(fù)有刪除相關(guān)公民個(gè)人隱私數(shù)據(jù)的責(zé)任。如上所述，如果用戶的個(gè)人數(shù)據(jù)被無限次使用，那么就陷入了一種無法控制的狀態(tài)，也會(huì)漏洞百出，而什么樣的數(shù)據(jù)、如何使用、使用幾次之后可要求銷毀則需要實(shí)踐中各方進(jìn)行協(xié)商。另外，要進(jìn)入交易場(chǎng)所進(jìn)行交易還需要資質(zhì)，這最好要政府對(duì)此進(jìn)行許可授權(quán)，以保障入場(chǎng)公司的信譽(yù)，減少用戶對(duì)隱私侵犯的擔(dān)憂。此外，除了制度規(guī)定本身，交易的事后監(jiān)察也非常重要，如《中關(guān)村數(shù)海大數(shù)據(jù)交易平臺(tái)規(guī)則（征求意見版）》第44條規(guī)定，“如收到關(guān)于數(shù)據(jù)侵犯所有權(quán)、隱私、國家安全的訴訟，本交易平臺(tái)查證屬實(shí)的，將停止相關(guān)數(shù)據(jù)交易服務(wù)，并凍結(jié)數(shù)據(jù)交易款項(xiàng)，涉及不能正常履行的買賣合約，由數(shù)據(jù)賣方承擔(dān)買方損失，退還所得交易款”。這也進(jìn)一步印證了數(shù)據(jù)控制者對(duì)數(shù)據(jù)的交易受到很多限制。而且我認(rèn)為，當(dāng)用戶發(fā)現(xiàn)自己的個(gè)人數(shù)據(jù)被泄露出去，應(yīng)該賦予用戶自由退出權(quán)，畢竟，該數(shù)據(jù)從源頭上講是屬于用戶個(gè)人的。

三、侵權(quán)認(rèn)定

如果app方面確實(shí)違反了以上提到的相關(guān)法律或其他規(guī)定，具有違法性，要向法院訴請(qǐng)侵權(quán)，最好還需要證明自己的損失，例如，2010年，美國用戶Jonathan Lalo 起訴蘋果公司因?yàn)樗麄兊漠a(chǎn)品追蹤了用戶在應(yīng)用上的活動(dòng)并且發(fā)送給Doubleclick 等互聯(lián)網(wǎng)營銷公司。但法院駁回了這一訴訟，原因是原告無法證明這些行為及推送的產(chǎn)品給他帶來了何種損失。故只有證明了既有違法性，又造成了實(shí)際損失，二者相聯(lián)系，才能最終認(rèn)定隱私侵權(quán)。

參考文獻(xiàn)：

[1]翟宏堃. 大數(shù)據(jù)時(shí)代征信業(yè)的變化與被遺忘權(quán)[J].金融法苑，2014.

[2]王利明.個(gè)人信息權(quán)與隱私權(quán)有何區(qū)別[N].北京日?qǐng)?bào)，2014.

[3]邱玥.大數(shù)據(jù)時(shí)代的數(shù)據(jù)買賣[N].光明日?qǐng)?bào)，2015.

[4]韓琮林.秦翯.大數(shù)據(jù)交易將有據(jù)可依[N].北京商報(bào)，2015.

[5]王玉林，高富平.大數(shù)據(jù)的財(cái)產(chǎn)屬性研究[J].圖書與情報(bào)，2016.

作者簡(jiǎn)介：卞煥（1994-），女，湖北人，上海大學(xué)法學(xué)院2015級(jí)民商法專業(yè)碩士研究生，研究方向：民商法。endprint